Plataforma
php
Componente
clipbucket-v5
Corregido en
5.5.3
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en ClipBucket v5, una plataforma de intercambio de videos de código abierto. Esta vulnerabilidad permite a un usuario autenticado, con privilegios de usuario regular, subir una foto con un título malicioso que contiene código HTML o JavaScript. Aunque el payload no se ejecuta en la galería de fotos o páginas de detalles visibles para el usuario, sí se renderiza de forma insegura en la sección de administración, permitiendo la ejecución de JavaScript en el navegador del administrador.
La vulnerabilidad XSS almacenada en ClipBucket v5 permite a un atacante inyectar código JavaScript malicioso en la interfaz de administración. Un atacante podría aprovechar esto para robar cookies de sesión del administrador, redirigir al administrador a sitios web maliciosos, o incluso ejecutar código arbitrario en el contexto del navegador del administrador. Esto podría resultar en el compromiso completo del sistema ClipBucket, incluyendo el acceso a datos sensibles de los usuarios y la capacidad de modificar el contenido del sitio. La ejecución en el contexto del administrador amplía significativamente el alcance del ataque, permitiendo un mayor control sobre la plataforma.
Esta vulnerabilidad fue publicada el 7 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La vulnerabilidad no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La probabilidad de explotación se considera moderada debido a la necesidad de autenticación y la complejidad de la inyección en la sección de administración.
Organizations and individuals using ClipBucket v5 for video sharing, particularly those with administrative access to the platform, are at risk. Shared hosting environments where multiple users have access to the ClipBucket installation are especially vulnerable, as a compromised user could exploit this vulnerability to target other users or the hosting provider itself.
• php: Examine ClipBucket's database for photo titles containing suspicious HTML or JavaScript code. Use grep to search the photos table for patterns like <script> or onload=.
grep -i '<script' /var/www/clipbucket/db/photos.sql• generic web: Monitor access logs for requests to the Manage Photos section with unusual parameters or user agents. Look for POST requests to the photo upload endpoint with potentially malicious data. • generic web: Check the ClipBucket installation directory for any newly created files or modifications to existing files that could indicate an attacker has gained access.
disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar ClipBucket a la versión 5.5.2-#147, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la sección de administración solo a usuarios de confianza. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para filtrar entradas de título de foto que contengan etiquetas HTML o JavaScript sospechosas. Monitorear los logs del servidor en busca de intentos de subir archivos con títulos inusuales también puede ayudar a detectar posibles ataques.
Actualice ClipBucket a la versión 5.5.2-#147 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la función de gestión de fotos. La actualización evitará que usuarios autenticados inyecten código malicioso a través del título de las fotos, protegiendo así la sesión del administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64336 is a stored Cross-Site Scripting (XSS) vulnerability in ClipBucket v5, allowing authenticated users to inject malicious JavaScript into photo titles, potentially impacting the administrator's browser.
You are affected if you are using ClipBucket v5 versions 5.5.2-#146 or earlier. Upgrade to 5.5.2-#147 to mitigate the risk.
The recommended fix is to upgrade ClipBucket to version 5.5.2-#147 or later. As a temporary workaround, implement input validation and sanitization on the Photo Title field.
There is no confirmed active exploitation of CVE-2025-64336 at this time, but the vulnerability is publicly known and should be addressed promptly.
Refer to the ClipBucket security advisory for details and updates: [https://www.clipbucket.net/security/advisories/]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.